Dateianalyse mit Microsoft Copilot in Microsoft Defender

Gilt für:

• Microsoft Defender XDR
• Microsoft Defender SOC-Plattform (Unified Security Operations Center)

Microsoft Copilot für Security im Microsoft Defender-Portal ermöglicht es Sicherheitsteams, schädliche und verdächtige Dateien mithilfe von KI-gestützten Dateianalysefunktionen schnell zu identifizieren.

Sicherheitsteams, die Angriffe nachverfolgen und beheben, benötigen Tools und Techniken, um potenziell schädliche Dateien schnell zu analysieren. Komplexe Angriffe verwenden häufig Dateien, die legitime Dateien oder Systemdateien imitieren, um eine Erkennung zu vermeiden. Darüber hinaus benötigen Neue Sicherheitsanalysten möglicherweise Zeit und sammeln umfangreiche Erfahrung, um verfügbare Analysetools und -techniken zu verwenden.

Die Dateianalysefunktion von Copilot in Defender verringert die Barriere beim Lernen der Dateianalyse, indem sofort zuverlässige und vollständige Dateiuntersuchungsergebnisse bereitgestellt werden. Mit dieser Funktion können Sicherheitsanalysten aller Ebenen ihre Untersuchung mit einer kürzeren Bearbeitungszeit abschließen. Der Bericht enthält eine Übersicht über die Datei, Details zum Inhalt der Datei und eine Zusammenfassung der Bewertung der Datei.

Die Dateianalysefunktion ist in Microsoft Defender über die Copilot für Security-Lizenz verfügbar. Copilot für Security eigenständigen Portalbenutzer verfügen auch über die Dateianalysefunktion und andere Defender XDR Funktionen über das Microsoft Defender XDR-Plug-In.

Analysieren einer Datei

Die von Copilot generierten Dateianalyseergebnisse enthalten in der Regel die folgenden Informationen:

• Übersicht : Enthält eine Bewertung der Datei, einschließlich eines Erkennungsnamens, wenn die Datei böswillig/potenziell unerwünschte ist, wichtige Dateiinformationen wie Zertifikate und Signaturgeber sowie eine Zusammenfassung des Inhalts der Datei, die zur Bewertung beiträgt.
• Details : Hebt die in der Datei gefundenen Zeichenfolgen hervor, listet API-Aufrufe auf, die von der Datei verwendet werden, und listet Informationen zu den relevanten Zertifikaten der Datei auf.

Hinweis

Die Analyseergebnisse variieren je nach Inhalt der Datei.

Sie können auf die Dateianalysefunktion wie folgt zugreifen:

1. Öffnen Sie eine Dateiseite. Copilot generiert beim Öffnen einer Dateiseite automatisch eine Analyse. Die Ergebnisse, in denen standardmäßig die Übersichtsinformationen angezeigt werden, werden dann im Bereich Copilot angezeigt.
   Wählen Sie Details anzeigen (siehe oben) aus, um die vollständigen Ergebnisse anzuzeigen, oder Details ausblenden (unten hervorgehoben), um die Ergebnisse zu minimieren.
2. Wählen Sie auf einer Incidentseite eine Datei aus, die im Angriffsverlaufsdiagramm untersucht werden soll. Sie können auch eine Datei auswählen, die auf einer Warnungsseite untersucht werden soll. Wählen Sie eine Zu untersuchende Datei aus, und wählen Sie dann analysieren im Seitenbereich aus, um mit der Analyse zu beginnen. Die Ergebnisse werden dann im Bereich Copilot angezeigt.

Sie können die Ergebnisse in die Zwischenablage kopieren, die Ergebnisse erneut generieren oder das Copilot für Security-Portal öffnen, indem Sie die Auslassungspunkte (...) neben der Dateianalyse Karte auswählen.

Überprüfen Sie immer die von Copilot in Defender generierten Ergebnisse. Wählen Sie das Feedbacksymbol am unteren Rand des Copilot-Bereichs, um Feedback zu geben.

Siehe auch

• Ausführen der Skriptanalyse
• Zusammenfassen eines Incidents
• Gerätezusammenfassung generieren
• Beheben von Vorfällen mit geführten Antworten
• Erste Schritte mit Copilot für Security
• Erfahren Sie mehr über vorinstallierte Plug-Ins in Microsoft Copilot für Security
• Weitere Informationen zu anderen Copilot für Security eingebetteten Umgebungen

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.